Google zaostrza politykę bezpieczeństwa w Chrome. Przeglądarka zacznie domyślnie wymuszać szyfrowane połączenia HTTPS, ograniczając ryzyko ataków na użytkowników.
Google ma nie lada problem. Ze swoją najpopularniejszą na świecie przeglądarką, Chrome, jak mało kto musi dbać o to, aby zabezpieczenia były zawsze w gotowości. W tym celu każdego roku wprowadza mnóstwo udoskonaleń gwarantujących, że użytkownicy mogą bezpiecznie surfować. W tej kwestii nie ma miejsca na negocjacje, więc i decyzja o nadchodzącej zmianie została podjęta i nie będzie od niej odwrotu.
Google nie pozostawia wyboru, ale Chrome będzie bezpieczniejszy
Google ogłosiło kolejny krok w kierunku pełnego zabezpieczenia ruchu w przeglądarce Chrome. Pomimo że według danych firmy już od 2020 roku między 95 a 99 procent nawigacji w Chrome odbywa się po HTTPS, zespół zauważa, że adopcja HTTPS przestała rosnąć i chce domknąć pozostałą lukę. W tym celu funkcja Zawsze używaj bezpiecznych połączeń zostanie włączona domyślnie dla wszystkich użytkowników przeglądarki w październiku 2026 wraz z wydaniem Chrome 154. Wcześniej, bo w kwietniu 2025 przy premierze Chrome 147, domyślne wymuszanie HTTPS obejmie osoby korzystające z trybu Ulepszone Bezpieczne Przeglądanie.
Zawsze używaj bezpiecznych połączeń powoduje, że Chrome przed pierwszym wejściem na publiczną stronę działającą wyłącznie po HTTP poprosi o zgodę użytkownika na kontynuowanie. Celem jest zminimalizowanie ryzyka ataku środkami typu malware, social engineering czy przechwycenie sesji. Jak podkreśla zespół Chrome, oprogramowanie do przechwytywania nawigacji jest łatwo dostępne, a pojedyncza nieszyfrowana wizyta może stanowić przyczółek dla atakującego, niezależnie od tego, że większość sieci przeszła już na HTTPS.
Google tym samym kontynuuje trend, który firma rozpoczęła lata temu. Chrome w 2018 zaczął oznaczać strony HTTP jako „niezabezpieczone”, w 2021 domyślnie próbował nawiązać połączenie przez HTTPS, a od 2022 oferował Zawsze używaj bezpiecznych połączeń jako opcję z możliwością jej wyłączenia. Teraz mechanizm staje się normą. Wyjątkiem pozostaną połączenia do prywatnych adresów (np. lokalnych IP czy intranetów), gdzie uzyskanie certyfikatu jest technicznie złożone ze względu na współdzielone nazwy i różne mapowania w sieciach. Choć HTTP w sieciach prywatnych nie jest w pełni bezpieczny, ryzyko jest ograniczone do wewnętrznego ruchu w danej sieci.
Źródło: google
